Özet: Mega bir şirket tarafından satın alınan küçük bir başlangıçta çalıştım. BT güvenlik politikaları aşırı, ancak daha fazla güvenlik eklemiyorlar ve iş yapmamı engelliyorlar. Bunu nasıl değiştirebilirim?
Önce biraz bağlam: Çalıştığım startup (buna Tinyco diyelim) geçen yıl büyük (binlerce kişi) teknoloji odaklı bir şirket tarafından satın alındı (isim verelim (daha kolay tanımlama için Megacorp) dünya çapında ofisler ile. Söz konusu şirkette bir geliştirme ekibine liderlik ediyorum. Hala Tinyco'nun güvenlikle ilgili birçok çalışmayı dahil ettiği görevlerimin bir kısmı & Bahsedilen konularda uzmanım ama satıştan bu yana bu görevler Megacorp'un özel bilgi güvenliği ekibine devredildi. Konumumun doğası gereği, güvenlikle ilgili konularda hâlâ daha az kapasiteye sahibim.
Sorun, Megacorp'un bilgi güvenliği ekibinin iki şeyi yapma konusunda takıntılı görünmesi: hayır demek ve hayır demedikleri her şeyi hayır demeye eşdeğer bir düzeye sınırlayın. Örneğin:
- Bir tek oturum açma (SSO) çözümü kullanmamız gerekiyor. Kendi başına bu iyi bir fikir, ancak sorun şu ki, birden çok SSO çözümü kullanmamız gerekiyor. Açık olmak gerekirse, bunun için teknolojik bir neden yok; Bu, aynı SSO sağlayıcısında her biri farklı bir yerde kullanılan birden fazla hesaptır.
- Bu, karmaşıklığı artırırken SSO'nun tüm güvenlik avantajlarını ortadan kaldırır, yani takip etmek için daha fazla şifreniz ve daha yüksek bir şansınız olduğu anlamına gelir birini unutmak / yeniden kullanmak / kırmak.
- Bilgi güvenliği ekibi, self servis şifre sıfırlama özelliği sağlamayı reddediyor, bunun yerine tüm şifrelerin sıfırlanmasının BT biletleri aracılığıyla yapılmasını gerektiriyor. Bir BT bileti açmanın, genellikle sıfırlamanız gereken şifreyi gerektirdiği gerçeğini görmezden gelirler, bu da genellikle bir tavuk ve yumurta sorununa yol açar ve bu genellikle şifre sıfırlama ihtiyacı olan kişi patronuna (veya patronunun patronuna) sorduğunda çözülür. telefonla ve ofis bürokrasisinde çalıştırmalarını sağlayın.
- Sonuç olarak, BT artık insanların başkaları için şifre sıfırlama talep etmesine alışkın, iyi bir güvenlik uygulaması değil.
- Kısa süre önce, tüm çalışma dizüstü bilgisayarlarının, oturum açmak için iki faktörlü kimlik doğrulama (bu durumda kullanıcının telefonu) gerektirecek şekilde yapılandırılacağı söylendi. Kulağa yine iyi bir fikir gibi geliyor, ancak "Telefonunuz kırılırsa / kaybolursa / çalınırsa ve dizüstü bilgisayarınızda oturum açamazsa ne yaparsınız?" onların cevabı "bunun için bir bilet açın". Telefonunuz olmadan giriş yapamayacağınız ve şahsen sizin için bir bilet açması için kimseyle iletişim kuramayacağınız için bilet açamayacağınızı anladıklarından emin olmaları tekrar sorulduğunda ( COVID- 19, hepimiz uzaktan çalışıyoruz) ve kimseyi arayamazsınız (telefonunuzu kaybettiğiniz için), onların yanıtı "üzerinde çok düşündük" oldu ve bir çalışanın nasıl olması gerektiğini söylemeyi reddettiler bu durumda sorunu kendilerine bildirin.
- Telefonum şirket verileriyle birlikte çalınırsa, uzaktan silinmesi gerektiğini kimseye bildirmenin bir yolu yok ve dizüstü bilgisayarımda oturum açamıyorum Sonuç olarak bunu kendim yapmak için.
- Birçok durumda, bu değişikliklerin neden herhangi bir risk oluşturduğunu açıklayamasalar da, "güvenlik nedenleriyle" ağ değişiklikleri vb. yapmayı reddettiler.
- Bu, herkesi, işin hala yapılması gerektiğinden, genellikle daha az güvenli olan dolambaçlı bir yoldan gitmeye zorladı.
- Daha birçok durum var. Bunlar aklıma gelen rastgele birkaç örnek.
Bunun hakkında bilgi güvenliği ekip lideriyle defalarca konuşmayı denedim, ancak " buraya rastgele güvenlik standardı eklememiz gerekiyor
bunu yapmamız gerekiyor" diyor. Yukarıda bahsettiğim (ve ona anlattığım konuşmada dile getirdiğim) şeyler, onun bahsettiği herhangi bir güvenlik standardının parçası değil.
Artık ne yapacağım konusunda ciddi bir kayıp yaşıyorum çünkü bu, benim işim. Bugün sadece güvenlikle ilgili sınırlamalarla uğraştığım için bir saatten fazla saydım ve bu alışılmadık veya nadir değil ki bu, Tinyco'dayken olduğundan çok daha fazla ve aynı zamanda çok daha az güvende hissediyor. Bilgi güvenliği ekibinin bunu görmesini nasıl sağlayabilirim?